Comments 9
Офигенная статья для тех, кто умеет читать, спасибо большое за честность!
Подзаголовки круто было бы добавить.
Дорогу осилит идущий)
Как тут в комментариях прозвучало - спасибо за честность @AlexRay!)
У меня такой вопрос - а как решаете вопрос с обслуживанием сертификатов TLS для сервисов внутри куба? Используйте ли cert-manager или какая-либо другая схема - поставки/обновления сертов?
Поскольку схема гибридная и приложение должно иметь возможность работать как внутри куба, так и снаружи, то никакие специфичные для кубера системы не используем. При деплое приложения из Vault подтягиваются ключи и сертификаты и из них создаются секреты в самом кубе, которые уже монтируются в контейнеры пода.
Спасибо большое за статью, особенно за схему, сильно же усложнилась изменилась инфраструктура за последние года. :)
В конце концов Кубер в ЮMoney стал выглядеть так:
Можете подсказать, пожалуйста, по паре моментов:
Есть ли принципиальные причины почему сверху использован Nginx+, а снизу HAProxy?
Аналогично, есть ли принципиальные причины почему использован Envoy, а не HAProxy, например? И почему прямоугольничек Envoy нарисован именно внутри App?
На Nginx+ работают балансировщики для входящего трафика, их всего несколько штук на датацентр. HAProxy обеспечивает меш и установлен по экземпляру возле каждого приложения. Не то чтобы их невозможно было поменять местами, но зачем? К тому же надо понимать, что Nginx+ — платный продукт.
Envoy использован потому, что его использует Istio, альтернативы там особо никакой нет. Он нарисован внутри App потому, что App на схеме - под приложения, а envoy - один из сайдкаров внутри пода.
Кубер или два service discovery на один service mesh